Existe uma maneira de fazer ls mostrar arquivos ocultos apenas para determinados diretórios?

Question

TheDiveO

Asked: 2018-05-13 02:00:57 +0800 CST2018-05-13 02:00:57 +0800 CST 2018-05-13 02:00:57 +0800 CST

Acessar /proc/pid/ns/net sem executar o processo de consulta como root?

772

Em um programa, estou enumerando namespaces de rede procurando /proc/pid/por ns/netlinks (sym). Este programa é executado dentro dos namespaces "raiz" (inicialização original) do próprio host. Normalmente, preciso executar a parte do scanner como root, caso contrário, terei apenas acesso limitado às /proc/pid/informações de outros processos. Gostaria de evitar executar o scanner como root, se possível, e gostaria de evitar o incômodo de perder privilégios.

Qual recurso do Linux preciso definir para meu programa de scanner para que ele possa ser executado por usuários não raiz e ainda ver a /proc/pid/árvore completa e ler os links de namespace da rede?

2 respostas

Voted

TheDiveO · Answer 1 · 2020-01-09T16:26:47+08:00

Depois de algumas tentativas e erros, descobri que de fato CAP_SYS_PTRACEé necessário.

Em contraste, CAP_DAC_READ_SEARCHe CAP_DAC_OVERRIDEnão dê o acesso necessário, que inclui readlink()e operações semelhantes.

O que estou vendo pode ser verificado: primeiro, ptrace.c fornece a pista necessária em __ptrace_may_access():

/* May we inspect the given task?
 * This check is used both for attaching with ptrace
 * and for allowing access to sensitive information in /proc.
 *
 * ptrace_attach denies several cases that /proc allows
 * because setting up the necessary parent/child relationship
 * or halting the specified task is impossible.
 */

E segundo, as funções relacionadas ao nsfs, como proc_ns_readlink() (indiretamente) chamam __ptrace_may_access().

E, finalmente, man 7 namespaces menciona:

Os links simbólicos neste subdiretório são os seguintes: [...] A permissão para desreferenciar ou ler (readlink(2)) esses links simbólicos é regida por uma verificação do modo de acesso ptrace PTRACE_MODE_READ_FSCREDS; veja ptrace(2).

Michael Dreher · Answer 2 · 2022-06-03T14:02:10+08:00

Michael Dreher

2022-06-03T14:02:10+08:002022-06-03T14:02:10+08:00

Para ser preciso: CAP_SYS_PTRACE e CAP_SYS_ADMIN são necessários para entrar no namespace da rede, aqui está um exemplo:

# docker run -it --rm --pid host --cap-add CAP_SYS_PTRACE --cap-add CAP_SYS_ADMIN debian:bullseye-slim bash
root@8b40f2f48808:/# nsenter --net=/proc/1/ns/net bash

Veja também esta resposta

0

Acessar /proc/pid/ns/net sem executar o processo de consulta como root?

Como exportar uma chave privada GPG e uma chave pública para um arquivo

ssh Não é possível negociar: "nenhuma cifra correspondente encontrada", está rejeitando o cbc

Como podemos executar um comando armazenado em uma variável?

Como configurar o systemd-resolved e o systemd-networkd para usar o servidor DNS local para resolver domínios locais e o servidor DNS remoto para domínios remotos?

Como descarregar o módulo do kernel 'nvidia-drm'?

apt-get update error no Kali Linux após a atualização do dist [duplicado]

Como ver as últimas linhas x do log de serviço systemctl

Nano - pule para o final do arquivo

erro grub: você precisa carregar o kernel primeiro

Como baixar o pacote não instalá-lo com o comando apt-get?

Acessar /proc/pid/ns/net sem executar o processo de consulta como root?

2 respostas

relate perguntas